Dark
Tequila kod adlı gelişmiş bir siber operasyon, son beş yıldır Meksika başta
olmak üzere Latin Amerika’da kullanıcıları hedef alıyor. Banka kimlik
bilgilerini, kişisel ve kurumsal verileri çalan yazılım, kurbanın bilgisayarı
internete bağlı değilken bile hareket edebiliyor. Kaspersky Lab
araştırmacılarına göre zararlı kod, bulaştığı USB cihazları ve hedef odaklı
kimlik avı saldırılarıyla yayılıyor ve tespit edilmekten kaçınabiliyor. Dark
Tequila’nın ardındaki tehdit grubunun İspanyolca konuşan ve Latin Amerika
kökenli kişilerden oluştuğuna inanılıyor.
Dark Tequila zararlı yazılımı ve onu
destekleyen altyapı, finansal dolandırıcılık faaliyetlerinde görülmeye alışık
olmadığı derecede gelişmiş. Tehdit temel olarak finansal bilgileri çalmaya
odaklanıyor. Ancak, bir bilgisayara girdikten sonra popüler websiteleri de
dahil diğer sitelere giriş bilgilerini alıyor, iş ve kişisel e-posta
adreslerini, alan adı kayıtlarını, dosya depolama hesaplarını ve daha fazlasını
da satmak veya gelecekteki faaliyetlerinde kullanmak için topluyor. Zimbra e-posta
müşterileri ve Bitbucket, Amazon, GoDaddy, Network Solutions, Dropbox,
RackSpace gibi websiteleri bunlara örnek verilebilir.
Çok katmanlı bir yapıya sahip olan zararlı
yazılım, bulaştığı USB cihazları ve hedef odaklı kimlik avı saldırıları
üzerinden kullanıcılara dağıtılıyor. Zararlı yazılım bilgisayara girdikten
sonra, talimat almak için kendi komut sunucusuyla bağlantı kuruyor. Yazılımın
taşıdığı yük ancak belirli teknik ağ koşulları sağlandığında kurbana ulaşıyor.
Zararlı yazılım; kurulu bir güvenlik çözümü, ağ izleme faaliyeti veya sanal
elek gibi bir analiz ortamında çalıştığına dair işaret tespit ettiğinde bulaşma
sürecini durdurup kendini sistemden siliyor.
Bunların hiçbirinin olmadığı durumda ise
zararlı yazılım yerel bulaşma sürecini etkinleştiriyor ve otomatik çalışmak
için, çıkarılabilir bir sürücünün içine çalıştırılabilir bir dosya kopyalıyor.
Böylece zararlı yazılım, kurbanın ağında ağ bağlantısı olmadan da hareket
edebiliyor. Hedef odaklı kimlik avı saldırısı yoluyla yalnızca tek bir makine
de etkilense bu durum geçerli oluyor. Zararlı yazılımın bulaştığı bilgisayara
bir USB takıldığında, o cihaz da otomatik olarak etkileniyor ve zararlı
yazılımı başka bir hedefe bulaştırmaya hazır hale geliyor.
Zararlı parçada, giriş bilgileri ve diğer kişisel
verileri toplamak için basılan tuşları kaydetme ve pencere izleme gibi gerekli
tüm modüller bulunuyor. Komut sunucusundan talimat gönderildiğinde diğer
modüller de çözülüp aktif hale geliyor. Çalınan tüm veriler sunucuya şifreli
bir şekilde yükleniyor.
Dark Tequila en az 2013’ten bu yana
Meksika’da ve bu ülkeyle bağlı yerlerde faaliyet gösteriyor. Kaspersky Lab’in
analizlerine göre kodda bulunan İspanyolca kelimeler ve yerel bilgiler,
operasyonun arkasındaki tehdit grubunun Latin Amerika’dan olduğunu gösteriyor.
Kaspersky Lab Latin Amerika Global
Araştırma ve Analiz Ekibi Lideri Dmitry Bestuzhev, “Dark Tequila ilk bakışta,
finansal getiri için kimlik bilgileri toplayan diğer herhangi bir bankacılık
Truva Atına benziyor. Ancak daha detaylı analiz yapıldığında, finansal
tehditlerde pek sık görmediğimiz düzeyde karmaşık olan bir zararlı yazılım
ortaya çıkıyor. Kodun modüler yapısı, gizlenme ve tespit mekanizmaları
keşfedilmekten kaçınmasına ve zararlı yükünü yalnızca güvenli olduğunu
düşündüğü zaman boşaltmasına yardımcı oluyor. Bu saldırı yıllardır etkin ve
yeni örnekler bulmaya devam ediyoruz. Bugüne kadar yalnızca Meksika’daki
kullanıcılar hedef alındı fakat yazılımın teknik kapasitesi dünyanın herhangi
bir yerine saldırı düzenlemeye uygun.” dedi.
Kaspersky Lab ürünleri, Dark Tequila ile
ilişkili zararlı yazılımları başarılı bir şekilde tespit edip engelliyor.
Kaspersky Lab, kullanıcılara kendilerini
hedef odaklı kimlik avı saldırılarına ve USB’ler gibi çıkarılabilir medyalar
üzerinden yayılan saldırılara korumaları için şu önlemleri almalarını tavsiye
ediyor.
Herkes için geçerli olan önlemler:
Tüm e-posta eklerini, açmadan önce
anti-virüs güvenliği ile kontrol edin.
USB cihazların otomatik çalışma özelliğini
devre dışı bırakın.
USB sürücüleri açmadan önce anti-virüs
güvenliği ile kontrol edin.
Bilmediğiniz cihazları ve USB bellekleri
bilgisayarınıza takmayın.
Finansal tehditlere karşı sağlam ek
önlemlere sahip bir güvenlik çözümü kullanın.
Şirketlere ayrıca şunlar öneriliyor:
İş için gerekli değilse kullanıcı
cihazlarındaki USB girişlerini kapatın.
USB cihaz kullanımını yönetin. Hangi USB
cihazlarının, kimler tarafından, ne için kullanılacağını belirleyin.
Özellikle ev ve iş bilgisayarı arasında
taşınan cihazlar varsa USB kullanımı hakkında çalışanlarınıza eğitim verin.
USB’leri etrafta görünür şekilde bırakmayın.
